Редактирование конфигурационных файлов сервера
🕛 19.06.2009, 16:55
Основным конфигурационным файлом сервера Kerberos является файл /etc/krb5 . conf. Этот файл состоит из нескольких разделов; роль заголовка раздела выполняет ключевое слово, помещенное в квадратные скобки. Строки, следующие до появления очередного заголовка, определяют характеристики, соответствующие текущему разделу. Пример файла krb5. conf для KDC приведен в листинге 6.1.Листинг 6.1. Пример файла krb5 .'Тonf [logging]
default - FILE:/var/log/krb51ibs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log
[libdefaults] ticket_lifetime = 24000 default_realm = THREEROOMCO . COM dns_lookup_realm = false dnS_lookup_kdc = false
[realms] THREEROOMCO.COM = {
kdc = kerberos.threeroomco.com:88
kdc = kerberos-l.threeroomco.com:88
kdc = kerberos-2.threeroomco.com:88
admin_server = kerberos.threeroomco.com:749 -' default_domain= threeroomco.com }
[domain_realm] .threeroomco . com = THREEROOMCO . COM threeroomco. com = THREEROOMCO . COM outsider.threeroomco.com = PANGAEA.EDU
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
Каждая строка внутри раздела состоит из имени переменной, за которой следуют знак равенства (символ "=") и значение этой переменной. Некоторые разделы могут содержать подразделы, для обозначения которых используются фигурные скобки. Например, в разделе [ realms ], представленном в листинге 6.1, фигурными скобками выделены строки, связанные с областью THREEROOMCO. COM. Наличие подразделов позволяет создавать файлы, поддерживающие несколько областей.
Большинство разделов, содержащихся в рассмотренном конфигурационном файНАЧ:4 ле, используется для настройки серверов приложений и клиентов Kerberos. Не нужны лишь разделы [login] и [kdc]. Для некоторых программ могут потребоваться специальные параметры, которые обычно задаются в разделе [appdefaults].
KDC также использует собственный конфигурационный файл kdc. conf. В этом файле содержатся данные, предназначенные только для KDC, в то время как информация в файле krb5 . conf используется также клиентами и серверами приложений. Формат файла kdc. conf совпадает с форматом файла krb5 . conf.
Определение области
Как правило, для определения областей в файлы krb5 . conf и kdc. conf включаются специальные записи. Отредактировав файл, рассмотренный выше в качестве примера, вы измените конфигурацию KDC, серверов приложений и клиентов. Для того чтобы изменения были учтены сервером Kerberos и серверами приложений, надо перезапустить эти программы.
Редактирование файла krbS.conf
В файле krb5 . conf находится раздел [realms], в котором определены основной KDC и ведомые серверы. В разделе [domainrealm] указывается взаимосвязь между областью Kerberos и доменом Internet. Оба раздела содержатся в листинге 6. 1.
В рассмотренном примере раздел [realms] определяет основной KDC и два ведомых KDC для области THREEROOMCO. СОМ. Традиционно эти серверы называются kerberos и kerberos-л, где л - это номер ведомого сервера в домене, соответствующем области. В данном примере домен и область Kerberos имеют одинаковые имена (отличающиеся только регистром символов), но в общем случае их имена не обязательно должны совпадать. В определении каждого из KDC указан номер порта, по которому устанавливаются соединения с соответствующим сервером. Запись admin-server соответствует компьютеру, который используется для администрирования области. Обычно это тот же компьютер, на котором установлен KDC, но для выполнения функций администрирования используется другой порт (как правило, порт 749). Запись default_domain определяет имя домена, связанное с принципалами. По умолчанию в качестве такого имени используется имя области Kerberos, преобразованное в символы нижнего регистра. Очевидно, что в данном примере запись default_domain не обязательна.
В одном файле krb 5. conf можно указать несколько областей. Для того чтобы сделать это, надо включить в раздел [ realms ] имена нескольких областей, а параметры, описывающие каждую из них, поместить в фигурные скобки.
Записи, содержащиеся в разделе [domain_realm], отображают имена компьютеров и доменов в области Kerberos. За именем узла или домена (имя домена начинается с точки) следует знак равенства, после него указывается область Kerberos, к которой относится компьютер или домен. Из листинга 6.1 видно, что все компьютеры, принадлежащие домену threeroomco . com (в том числе узел сети с именем threeroomco. com), попадают в область THREEROOMCO.COM. Исключение составляет компьютер outsider. threeroomco. com, который попадает в область PANGAEA.EDU.
При настройке DNS-сервера целесообразно создать записи CNAME, определив ^ с их помощью имена узлов, указанные в krb5 . conf и в других конфигурационных файлах. Это поможет вам быстро ввести в строй резервный KDC, расположенный на другом компьютере, не редактируя конфигурационные файлы. Кроме того, для обращения к KDC можно использовать виртуальный IP-адрес. В этом случае компьютер, поддерживающий протокол NAT (Network Address Translation - преобразование сетевых адресов), определяется на DNS-сервере как KDC, но при обращении к нему он перенаправляет запрос тому компьютеру, на котором размещается реальный KDC. Это также позволяет перемещать KDC с одного компьютера на другой, не изменяя записи DNS.